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(54) Agencement pour la commande individuelle d'un actionneur dune installation industrieile 
a haute securite 



(57) Agencement pour la commande individuelle 
d'un actionneur (1) dans une installation industrieile a 
haute securite dont les actionneurs sont commandes 
par I'intermediaire d'unites de commande individuelles. 
programmees (2), incluses dans un systeme de com- 
mande general qui permet a un exploitant de conduire 
installation, soit a partir d'une salle de commande prin- 
cipate (12), soit a partir d'une salle de commande de 



secours (1 4) en cas de besoin, ces deux salles etant 
equipees d'organes de commande (13) manuellement 
manoeuvrables qui permettent d'agir individuellement 
sur les unites de commande des actionneurs. Chaque 
organe de commande est individuellement relie par 
deux liaisons numeriques de type serie (1L1. 1L2) de 
sens inverse a I'unite de commande de I'actionneur sur 
lequel il agit. 
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Description 

[0001] L'invention concerne un agencement pour la 
commande individuelle d'un actionneur d'inslallation in- 
dustrielle a haute securite et notamment d'une installa- 
tion nucleaire produisant de I'energie electrique. 
[0002] II est connu que les actionneurs prevus dans 
de telles installations sont multiplies pour des raisons 
de surete, lorsqu'ils ont un role important, ils sont par 
exemple groupes en entre deux et quatre trains de se- 
curite independants. En cas de besoin, chacun des ac- 
tionneurs de ces trains de securite doit toujours pouvoir 
etre independamment commande, d'une maniere indi- 
viduelle et prioritaire, par un agencement individuel de 
commande. Chaque actionneur est place sous le con- 
sole d'une unite de commande individuelle sur laquelle 
vient directement agir un agencement individuel qui est 
a commande manuelle pour des raisons de securite. 
Les unites de commande individuelles des actionneurs 
font partie d'un systeme de commande general ou elles 
sont reliees a diverses autres unites programmees d'ex- 
ploitation et de supervision par I'intermediaire d'une ar- 
chitecture de communication. En marche normale de 
Installation, la commande d'un actionneur est assuree 
par le systeme de commande general et il est classiquo- 
ment prevu des interverrouillages entre les unites de 
commande d'actionneur d'une meme installation. 
[0003] Le systeme de commande general permet a 
un exploitant de conduire Installation a partir d'une salle 
de commande principale comportant divers moyens de 
supervision et de conduite et il est classiquement prevu 
une salle de commande de secours separee et indepen- 
dante de la premiere dont elle est la replique, pour des 
raisons de securite. Les moyens de supervision et de 
conduite d'une salle comprennent notamment les orga- 
nes a commande manuelle qui permettent aux agence- 
ments individuels de commande d'agir directement sur 
les unites de commande individuelles des actionneurs. 
Ces organes sont par exemple du type boite a boutons 
ou du type couramment designe par le sigle TPL pour 
Tourner-Pousser-Lumineux, ils permettent d'agir direc- 
tement et usuellement par voie electrique sur I'unite de 
commande propre a cet actionneur. Ceux de ces orga- 
nes de commande qui sont installes au niveau d'une sal- 
le de commande principale, sont actuellement relies par 
des liaisons individuelles point-a-point aux unites de 
commande des actionneurs sur lesquelles ils agissent.. 
Ils sont dupliques au niveau de la salle de commande 
de secours et leurs correspondants sont egalement re- 
lies par des liaisons individuelles point-a-point chacun 
a la meme unite de commande d'actionneur que I'orga- 
ne qu'ii duplique. 

[0004] Une telle organisation de commande a pour in- 
convenient d'exiger la presence d'un cablage multifilaire 
relativement important entre organes et unites de com- 
mande et ce cablage presente des risques en matiere 
de fiabilite dans la mesure ou chaque organe de com- 
mande comporte generalement un nombre relativement 



7 612A1 2 

eleve de bomes pour le raccordement des differents fils 
qui le relient a une unite de commande et ou chaque 
unite de commande comporte un nombre de bornes de 
raccordement qui est double pour sa mise en liaison 

5 avec les deux organes de commande pouvant permet- 
tre a un exploitant d'agir directement sur elle. 
[0005] De plus, comme il est connu, une commande 
progressive de certains actionneurs peut devoir etre 
realisee. Une telle commande est par exemple realisee 

10 par enfoncement plus ou moins prolonge d'un bouton 
d'organe qui se traduit par un signal electrique present 
pendant le temps d'enfoncement. Elle implique la pre- 
sence de moyens de generation de signal au niveau des 
organes de commande concernes et de moyens d'inter- 

15 pretation et de traduction du signal au n iveau des unites 
de commande recevant un tel signal. 
[0006] II est primordial que la transmission des com- 
mandes envoyees par les organes a commande ma- 
nuelle aux unites de commande des actionneurs soit as- 

20 suree de maniere fiable et avec un maximum de secu- 
rite. 

[0007] A cet effet, invention propose un agencement 
pour la commande individuelle d'un actionneur d'une 
installation industrielle a haute securite dont les action- 
25 neurs sont commandes par I'intermediaire d'unites de 
commande programmees individuelles incluses dans 
un systeme de commande general permettant a un ex- 
ploitant de conduire I'installation, soit a partir d'une salle 
de commande principale, soit a partir d'une salle de 
30 commande de secours en cas de besoin, ces deux sal- 
les etant equipees d'organes de commande manuelle- 
ment manoeuvrables qui permettent d'agir directement 
sur les unites de commande des actionneurs. 
[0008] Selon une caracteristique de l'invention, cha- 
35 que organe de commande manuellement manoeuvra- 
ble est individuellement relie a I'unite de commande de 
I'actionneur sur lequel il agit par I'intermediaire de deux 
liaisons numeriques de type serie de sens inverse. 
[0009] Selon l'invention, chaque unite de commande 
40 d'actionneur est reliee a chacun des deux organes de 
commande, respectivement disposes dans les deux 
sallesde commande de installation, par une liaison uni- 
directionnelle, serie, individuelle pour recevoir les infor- 
mations de commande numerisees en provenance de 
45 ces organes et par une autre liaison unidirectionnelle, 
serie, individuelle pour transmettre des informations nu- 
merisees vers chacun de ces organes. 
[0010] Selon l'invention, I'unite de commande d'un 
actionneur comporte au moins un processeur et une 
so memoire a double acces a laquelle sont separement re- 
lies le processeur et une interface de transmission don- 
nant acces au niveau superieur du systeme de com- 
mande pour permettre a cette unite de commande de 
fonctionner independamment du systeme de comman- 
55 de, en cas de necessite. 

[0011] L'invention, ses caracteristiques et ses avan- 
tages sont precises dans la description qui suit en 
liaison avec les figures evoquees ci-dessous. 
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[0012] La figure 1 presente un schema de principe 
d'un systeme de commande pour installation industrielle 
de haute securite comportant des agencements indivi- 
duels de commande d'actionneur selon I'invention. 
[001 3] La figure 2 presente un schema d'un organe a 
commande manuelle pour agencement individuel de 
commande d'actionneur selon I'invention. 
[0014] La figure 3 presente un schema d'un exemple 
d'unite de commande d'actionneur agencee pour coo- 
perer avec un agencement de commande d'actionneur 
selon I'invention. 

[0015] Les agencements de commande individuels 
selon I'invention sont destines a equiper une installation 
industrielle a haute securite, telle qu'une installation nu- 
cleate de production d'energie electrique qui comporte 
une pluralite d'actionneurs, tels les actionneurs 1 et 1\ 
qui sont individuellement commandes par I'intermediai- 
re d'unites individuelles de commande, telles les unites 
2 et 2'. 

[0016] Ces unites individuelles de commande sont 
classiquement des unites programmees telles que pre- 
vues pour les domaines de haute securite, il n'y est no- 
tamment pas admis de processus d'interruption logiciel- 
le. Les programmes mis en oeuvre sont realises sous 
forme modulaire la plus petite possible pour des raisons 
de securite et pour tenir compte du fait qu'il n'y est pas 
prevu d'interruption. Le stockage des donnees de pro- 
gramme y est realise en dur de maniere a eliminer les 
risques d'effacement de donnees essentielles. 
[0017] Les unites de commande d'actionneur font 
partie d'un systeme de commande general ou elles sont 
reliees a uneou plus generalement plusieurs unites pro- 
grammees Sexploitation et/ou de supervision, ces uni- 
tes etant reliees entre elles par une architecture de com- 
munication. Elles torment un systeme de conduite de 
procede par lequel le fonctionnement de installation est 
pilote sous la supervision du personnel Sexploitation af- 
fecte a cette installation. L'architecture de communica- 
tion comporte au moins un ou plusieurs reseaux, ceux- 
ci sont interconnects et ils desservent alors des unites 
repartis sur differents niveaux dans le systeme de com- 
mande general. 

[0018] Les unites Sexploitation et de supervision 
comportent au moins un processeur, un ensemble de 
memoires vives et/ou mortes et des equipements auxi- 
liaires divers, notamment des coupleurs d'entree/sortie. 
[0019] Dans une premiere variante connue prevue 
pour des installations relativement modestes, les unites 
de commande 2 des actionneurs sont connecters a un 
reseau local, par exemple un reseau de terrain 3, de 
type bus electrique ou optique. qui leur permet de com- 
muniqueravec le niveau superieur du systeme de con- 
duite. Ces communications peuvent eventuellement 
s'etablir directement avec une unite programmee du ni- 
veau superieur, telle 4, qui est alors raccordee au re- 
seau 3. Dans une seconde variante connue prevue pour 
des installations plus developpees, les communications 
des unites de commande 2 avec les unites program- 



mees de niveau superieur sont susceptibles de se rea- 
liser par P intermedia ire d'une unite specialisee 5, clas- 
siquement de type automate, faisant fonction de con- 
centrates d'entree/sortie et de routeur, pour les echan- 
5 ges d'inf ormation entre les unites de commande 2 et les 
unites de niveau superieur autres qu'elle-meme. Cette 
unite 5 est ici supposee reliee a un reseau local 6 de 
desserte d'unites de niveau intermediate, ici symboli- 
sees par deux unites programmees 7 et 8. L'unite 7 est 
10 par exemple un controleur d'electronique de puissance, 
l'unite 8 est ici suppose etre un controleur d'automatis- 
me supervisant les unites de commande 2, 2' dans la 
seconde variante ou il n'y a pas d'unite 4. Comme il est 
connu, d'autres unites programmees peuvent etre posi- 
ts tionnees a ce niveau intermediate du systeme de con- 
duite pour superviser d'autres groupes d'unites de ni- 
veau inferieur qui sont par exemple regroupees par 
grappes, chacune autour d'un reseau qui est par exem- 
ple du type bus. Elles ne sont pas evoquees plus avant 
20 ici dans la mesure ou elles n'ont qu'un rapport direct 
avec I'objet de I'invention. 

[0020] Dans I'exemple ici considere qui correspond a ^ 
un systeme de conduite de procede suppose organise * 
a partir d'un systeme modulaire de controle -commande 

25 tel que lo systeme do type ALSPA 8000 de la deman- 
deresse, il est prevu un niveau fonctionnel superieur ici 
represents par deux unites 9 et 10. Ces unites sont re- 
liees entre elles et aux unites du niveau intermediate 
d'automatisation du procede par un reseau local 11 qui 

30 est par exemple un reseau Ethernet ou un reseau fonc- 
tionnellement equivalent, tel que le reseau S8000 de la 
demanderesse. L'unite 9 correspond par exemple a une 
plate-forme operates de conduite et de supervision de 
procede ou plus simplement une station principale 

35 d'operateur de supervision, elle est ici supposee situee 
au niveau d'une salle de commande principale 12 de 
I'installation. 

[0021] L'unite 10 correspond par exemple a un calcu- 
lates de procede du systeme de conduite. 
40 [0022] Comme tndique dans le preambule, chaque 
unite de commande individuelle 2, 2' affectee a un ac- 
tionneur peut etre commandee de maniere directe et 
prioritaire au moyen d'un agencement individuel de 
commande d'actionneur a partir de I'une ou I'autre des 
45 salles de commande d'une installation. 

[0023] H est prevu des organes de commande ma- 
nuellement manoeuvrables, tels les organes 13 et 13", 
dans les agencements individuels de commande des 
actionneurs destines a etre fonctionnellement substt- 
so tues aux organes classiques de type boite a boutons ou 
organes de type TPL, pour permettre au personnel d'ex- 
ploitation de commander les unites de commande 2 des 
actionneurs 1 depuis la salle de commande principale 
1 2 de I'installation ou depuis une salle de commande de 
55 secours 1 4. 

[0024] Tous les organes de commande sont ici prevus 
pour pouvoir emettre et recevoir les informations sous 
forme numerique, par exemple sous la forme d'un ou 
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eventuellement de plusieurs octets. Chaque organe de 
commande est individuellement relie a une unite de 
commande par deux liaisons serie de sens inverse, tel- 
les 1 L1 , 1 L2 pour I'organe de commande 1 3 de la salle 
1 2 et 1 L1 M L2' pour I'organe de commande 1 3* de cette 
meme salle. Chaque unite de commande est reliee a un 
organe de commande de chacune des deux salles de 
commande 12 et 14 et par consequent a deux liaisons 
unidirectionnelles de type serie pour la reception des in- 
formations de commande numerisees en provenance 
des deux organes de commande reliees a elle et a deux 
liaisons unidirectionnelles de type serie pour I'envoi d'in- 
formations numerisees en vers ces organes. 
[0025] Chaque liaison unidirectionnelle est reliee a un 
codeur/decodeur 19, par exemple un multiplexeur/de- 
multiplexeur, au niveau de I'organe de commande qu'el- 
le dessert. Un dispositif de separation electrique 21, 
classiquement de type opto-coupleur, est intercale entre 
le codeur/decodeur et chacune des deux liaisons unidi- 
rectionnelles reliees a lui, lorsque les liaisons Iransmet- 
tent des signaux sous forme electrique. 
[0026] La manipulation des dispositifs de selection 
manueile que comporte un organe de commande se tra- 
duit par la production de combinaisons binaires carac- _ 
teristiques qui sont reconnaissables par les unites de* ' 
commande et plus particulierement par I'une de ces uni- 
tes qui les recoit. Dans I'exemple presente, les disposi- 
tifs de selection manueile 22 sont symbolises par des 
contacts electriques de type toutou-rien qui sont reiies 
au codeur du codeur/decodeur 19 de maniere a com- 
mander chacun la generation d'une combinaison binaire 
differente lorsqu'ils sont actionnes. " 
[0027] Un dispositif de commande de consigne 23 est 
egalement relie au codeur du ccKdeur/deccdeur':^ de * 
maniere a permettre la commande d'un actionneurij(e- 
glant auquel est envoye une des combinaisons, repre- 
sentatives des differentes valeurs de reglage qui sont 
prevues. Un reglage en fonction de la duree d'appui 
d'une touche est par exemple mis en oeuvre dans ce ' 
dispositif de commande de consigne. - 
[0028] Une pluralite de voyants 24 individuelliemeni 
eclaires reagit aux commandes d'allumage qui "sont 
transmises au decodeur du codeur/deccKdeur/j^'par. 
I'unite de commande 2 a Jaquelle est associeTprgMne 
1 3 considSre. j$ t ^ • 

[0029] Un exemple d'unite de commande 2 cf.action'- 
neur 1 est schematise sur la figure 1 , il comporte, lih pro : 
cesseur 25 auquel est associe un ensemble de rnembi- 
res comprenant classiquement au moins une memoire 
morte et une memoire vive, cet ensemble etant jcfsym-. 
bolise par une memoire morte 26 a laquelle est associee 
une memoire 27 a double acces. Cette memoire^ est 
utilisee pour les echanges d' informations numerisees 
entre le processeur 25 et le reseau 3, de type.bus; v par 
rintermediaire duquel les unites de commancje tejjes 
que 2 et 2' communiquent avec les unites de niveau su- 
perieur du systemedecommande. Elle est reliee ,au ^us 
3 par rintermediaire d'une interface de transmission 28. 



La memoire 27 est agencee materiellement et iogiciel- 
lement pour permettre que I'actionneur 1 , commande 

> par le processeur 25 auquel elle est associee. puisse 
etre commande independamment du reste du systeme 

5 de commande de Installation, en cas de necessite et 
en particulier en cas de defaiilance concernant la partie 
de systeme de commande qui est situee de I'autre cote 
de I'interface 28 par rapport au processeur 25. 
[0030] Le processeur 25 agit de maniere connue en 

10 soi sur un des actionneurs 1 par rintermediaire d'un cir- 
cuit de commande et au travers d'un dispositif de sepa- 
ration electrique 21 et d'une interface 30. Les signaux 
apparaissant en sortie de I'interface 30 a destination de 
I'actionneur 1 sont parallelement retransmis a un dispo- 

15 sitif de surveillance 31 charge de les verifier et d'infor- 
mer le processeur 25 sur les resultats de sa verification. 
Cette information se traduit sous la forme de signaux 
numeriques qui sont transmis au processeur au travers 
d'un dispositif de separation electrique 21 . 

20 [0031] Un circuit de test 32 recoit les signaux que 
transmet I'actionneur 1 a destination du processeur 25 
pour I'avertir de la maniere dont il fonctionne; selon un 
protocole connu de I'homme de metier. Des informa- 
tions elaborees a partir des signaux recus sont fournies 

25 par le circuit de test 32 au processeur 25 sous la super- 
vision de ce dernier. Des dispositifs de separation elec- 
trique 21 sont la encore places d'une part sur la liaison 
par laquelle le processeur agit sur le circuit de test et 
d'autre part sur la liaison par laquelle le circuit de test 

30 informe le processeur. 

[0032] Le processeur 25 d'une unite de commande 
est aussi en communication avec les deux organes de 
commande manuellement manoeuvrables d'un meme 
; . actionneur. Cette mise en communication est assuree 

35 par les liaisons serie qui unissent le processeur a cha- 

; cun des organes, telles les liaisons de sens inverse IL1 , 
1L2 avec I'organe 13 de la salle de commande princi- 
pal 12 pour le processeur de I'unite de commande 2 et 
telles les liaisons de sens inverse 2L1 , 2L2 avec I'orga- 

"40 ne de commande 1 3 de la salle de commande de se- 
cours14. 

. > [0033] Chaque liaison bidirectionnelle vers un organe 

* de commande s'effectue au travers de deux dispositifs 

• ' individuels de separation electrique 21 et via un circuit 
\ 45 deux f ils-quatre f ils 29, insere entre ces dispositifs et un 

port du processeur 25 qui est different pour les deux or- 
ganes de commande qui communiquent avec ce pro- 
cesseur, telle est par exemple la liaison bidirectionnelle 
composee des liaisons unidirectionnelles 2L1 , 2L2 vers 
so I'organe de 'commande 13de la salle 14. Chaque liaison 
' unidirectionnelle est par exemple alimentee en boucle 
pour permettre un auto-test et une transmission des in- 
formations numeriques par ouverture de boucle. 

. 55 

R eve ndicat ions 

^ ' 1. Agencement pour la commande individuelle d'un 
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actionneur (1) dans une installation industrielle a 
haute securite dont les actionneurs sont comman- 
des par I'intermediaire d'unites de commande indi- 
viduelles (2) faisant partie d'un systeme de com- 
mande general ou elles sont reliees a d'autres uni- 5 
tes programmees Sexploitation de Installation, ce 
systeme permettant a un exploitant de conduire 
Installation, soit a partir d'une salle de commande 
principale (12), soit en cas de besoin a partir d'une 
salle de commande de secours (14) qui sont equi- to 
pees Tune et I'autre d'organes a commande ma- 
nuelle (13) qui permettent d'agir directement cha- 
cun sur I'unite de commande d'un actionneur, ca- 
racterise en ce qu'il comporte un organe & comman- 
de manuelle qui est individuellement relie h I'unite 1$ 
de commande de i'actionneur sur lequel it agit par 
I'intermediaire de deux liaisons numeriques de type 
serie (1 L1 , 1 L2) de sens inverse. 

2. Agencement, selon la revendication 1 , dans lequel 20 
I'unite de commande (2) d'un actionneur (1) est re- 
liee a chacun des deux organes de commande (1 3), 
respect ivement disposes dans les deux salles de 
commande (12, 14) de I'installation, par une liaison 
unidirectionnelle, serie, individuello (1 L1 , 2L1 ) pour 25 
recevoir les informations de commande numeri- 
sees en provenance de ces organes et par une 
autre liaison unidirectionnelle, serie, individuelle 

(1 L2, 2L2) pour transmettre des informal ions nume- 
risees vers chaque organe. 30 

3. Agencement, selon I'une des revendications 1, 2, 
dans lequel chaque liaison serie est alimentee en 
boucle pour permettre un auto-test et une transmis- 
sion des informations numeriques par ouverture de 35 
boucle. 



4. Agencement, selon la revendication 2, dans lequel 
I'unite de commande d'un actbnneur comporte au 
moins un processeur (25) et une memoire a double 
acces (27) a laquelle sont s^parement relies le pro- 
cesseur et une interface de transmission (28) don- 
nant acces au niveau sup6rieurdu systeme de com- 
mande pour permettre a cette unite de commande 
de fonctionner independamment du systeme de 
commande, en cas de necessite. 
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FIG. 3 
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